Die Einschätzung der Cyber Academy
Operative Resilienz ist die Fähigkeit einer Organisation, kritische Dienste auch durch Störungen hindurch zu erbringen und sich anschließend zu erholen. Drei Rahmenwerke regeln sie in Europa: ISO 22301 (BCMS-Standard, die operative Ebene), NIS 2 (Article 21, Pflicht zur Geschäftsfortführung für in den Anwendungsbereich fallende Einrichtungen), DORA (Articles 11-12 für Finanzunternehmen, dazu eigene Tests). Ein einziges Programm kann allen drei genügen; sie als getrennte Arbeitsstränge zu betreiben, dupliziert Arbeit und erzeugt Inkonsistenzen.
TL;DR
- 1ISO 22301 ist das operative Rückgrat: BIA, Wiederherstellungsziele, BCP, Runbooks, Tabletop-Übungen, BCMS unter Managementbewertung.
- 2NIS 2 ergänzt die Meldung von Vorfällen (Frühwarnung innerhalb von 24 Stunden, Benachrichtigung innerhalb von 72 Stunden, Bericht innerhalb eines Monats) und die Kontinuität der Lieferkette.
- 3DORA ergänzt finanzunternehmensspezifische Tests (bedrohungsorientierte Penetrationstests für bedeutende Einrichtungen alle drei Jahre), das IKT-Drittparteienregister und die Aufsicht auf ESA-Ebene für kritische Anbieter.
- 4Der Lead Operational Resilience Manager (PECB-Zertifizierung) ist gezielt darauf ausgelegt, die drei zu integrieren.
- 5Einmal abbilden, dreifach auditieren: ein einziges, an 22301 ausgerichtetes BCMS mit Kontrollabbildungen für NIS 2 und DORA genügt allen drei Audits.
Warum ein Programm und nicht drei
Der Reflex in den meisten Organisationen ist, ISO 22301, NIS 2 und DORA als drei getrennte Compliance-Projekte zu behandeln, die oft von drei verschiedenen Teams verantwortet werden: Business Continuity, Security Operations und einer Finanzregulierungs- oder Risikofunktion. Das ist der teuerste Weg, es zu tun. Sie enden mit drei Business-Impact-Analysen, die sich uneinig sind, welche Dienste kritisch sind, drei Sätzen von Wiederherstellungszielen, die niemand abgleicht, und drei Übungskalendern, die dieselben Leute erschöpfen. Auditoren bemerken die Nahtstellen sofort.
Die Rahmenwerke sind keine Konkurrenten. ISO 22301 liefert Ihnen das Managementsystem: die Business-Impact-Analyse (BIA), die Wiederherstellungszeit- und Wiederherstellungspunktziele, die Kontinuitäts- und Wiederherstellungspläne, die Übungen und die Schleife der Managementbewertung. NIS 2 und DORA ersetzen nichts davon. Sie fügen Pflichten obendrauf hinzu, vor allem rund um die Vorfallmeldung, die Absicherung der Lieferkette und (bei DORA) ein spezifisches Testregime. Wenn Ihr BCMS gut aufgebaut ist, lassen sich die regulatorischen Ebenen darauf aufsetzen, statt es zu duplizieren.
Bauen Sie zuerst das Rückgrat. Der Kurs ISO 22301 Lead Implementer ist derjenige, der Ihnen beibringt, das Managementsystem aufzubauen, an dem alles andere hängt; wenn Sie nur die Struktur und das Vokabular verstehen müssen, beginnen Sie mit dem Kurs ISO 22301 Foundation.
Was jedes Rahmenwerk tatsächlich hinzufügt
Die ehrliche Lesart der drei ist die eines operativen Kerns plus zweier regulatorischer Überlagerungen. ISO 22301 ist der Kern, weil es das einzige der drei ist, das vorschreibt, wie die Kontinuitätsfähigkeit selbst aufgebaut und gepflegt wird. NIS 2 und DORA setzen voraus, dass diese Fähigkeit existiert, und legen dann Pflichten obendrauf: wem Sie es melden müssen, wenn etwas ausfällt, wie schnell und wie Sie nachweisen müssen, dass die Fähigkeit funktioniert.
| Rahmenwerk | Was es dem Kern hinzufügt | Für wen es gilt |
|---|---|---|
| ISO 22301 | Das Business-Continuity-Managementsystem selbst: BIA, RTO/RPO, Kontinuitäts- und Wiederherstellungspläne, Runbooks, Übungen, Managementbewertung. Das operative Rückgrat, das die anderen beiden voraussetzen. | Jede Organisation, freiwillig. Zertifizierbar, aber gesetzlich nicht vorgeschrieben. |
| NIS 2 | Fristen für die Vorfallmeldung (Frühwarnung, Benachrichtigung, Abschlussbericht), Pflichten zur Geschäftsfortführung und zum Krisenmanagement, Sicherheit der Lieferkette und Verantwortlichkeit der Leitungsebene. | Wesentliche und wichtige Einrichtungen in benannten Sektoren in der gesamten EU (Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung und mehr). |
| DORA | IKT-Resilienz im Finanzsektor: ein Programm zum Testen der digitalen operationalen Resilienz einschließlich bedrohungsorientierter Penetrationstests für bedeutende Einrichtungen, das IKT-Drittparteienregister und die direkte Beaufsichtigung kritischer IKT-Anbieter. | Finanzunternehmen in der EU (Banken, Versicherer, Wertpapierfirmen, Anbieter von Kryptowerten) und ihre kritischen IKT-Drittparteien. |
Lesen Sie die Tabelle von oben nach unten, und das Konzept wird offensichtlich. Sie implementieren ISO 22301 einmal. NIS 2 und DORA sagen Ihnen dann, welche Nachweise die Aufsichtsbehörde aus diesem einen System sehen will, und DORA fügt eine Testdisziplin hinzu, die über die von ISO 22301 erwarteten Tabletop-Übungen hinausgeht.
Wie es im Betrieb funktioniert
Im Alltag lebt die Integration in drei Artefakten, und sie richtig hinzubekommen ist der Großteil der Arbeit. Das erste ist ein einziger, maßgeblicher Servicekatalog samt BIA. Entscheiden Sie einmal, welche Dienste kritisch sind, wie hoch ihre Toleranz gegenüber Störungen ist und wovon sie abhängen. Jedes Rahmenwerk liest dann aus dieser einen Quelle. Wenn Ihr NIS 2-Anwendungsbereich und Ihre DORA-Liste kritischer oder wichtiger Funktionen Ihrer ISO 22301-BIA widersprechen, haben Sie das Auditargument bereits verloren, bevor es beginnt.
Das zweite ist eine vereinheitlichte Vorfall-Pipeline. ISO 22301 verlangt von Ihnen, zu erkennen, zu reagieren und Kontinuitätspläne auszulösen. NIS 2 und DORA verlangen von Ihnen, fristgerecht an eine zuständige Behörde zu melden. Bauen Sie einen einzigen Erkennungs- und Triage-Prozess, dessen Ausgabe sowohl die interne Kontinuitätsreaktion als auch den regulatorischen Meldeworkflow speist. Die Meldefrist beginnt mit der Kenntnisnahme, daher ist der Engpass selten der Kontinuitätsplan; es ist die Entscheidung, ob ein Ereignis meldepflichtig ist, und die Geschwindigkeit beim Verfassen der Frühmeldung. Vorab erstellte Meldevorlagen und ein klarer Eskalationsverantwortlicher sind hier mehr wert als jedes Werkzeug.
Das dritte Artefakt ist das Test- und Übungsprogramm, und hier drängt DORA am stärksten. ISO 22301-Übungen validieren die Pläne; DORA verlangt ein dokumentiertes Testprogramm und, für bedeutende Einrichtungen, bedrohungsorientierte Penetrationstests in einem mehrjährigen Zyklus. Der Kurs DORA Lead Manager behandelt das Testregime und das IKT-Drittparteienregister in der Tiefe, die die Verordnung verlangt, während der Kurs Lead Operational Resilience Manager derjenige ist, der gezielt darauf ausgelegt ist, die drei Rahmenwerke als ein einziges Programm zu betreiben.
Die Entscheidung: zertifizieren, ausrichten oder beides
Eine häufige Frage ist, ob Sie eine ISO 22301-Zertifizierung benötigen, um NIS 2 oder DORA zu erfüllen. Tun Sie nicht. Keine der beiden Verordnungen schreibt das Zertifikat vor. Doch der Standard ist die am weitesten anerkannte Blaupause für die Fähigkeit, die beide Verordnungen voraussetzen, weshalb sich die meisten Teams an ISO 22301 ausrichten, selbst wenn sie sich gegen eine Zertifizierung entscheiden. Die Entscheidung lässt sich sauber aufteilen: Richten Sie sich an ISO 22301 aus, um ein kohärentes, belastbares BCMS zu erhalten; zertifizieren Sie obendrauf nur, wenn ein Kunde, eine Ausschreibung oder ein Vorstand eine Bestätigung durch Dritte wünscht.
Wenn Sie das Zertifikat anstreben, verstehen Sie die Auditperspektive von beiden Seiten des Tisches. Implementierer bauen das System auf; Auditoren prüfen, ob es standhält.
Um das Zertifizierungsaudit durchzuführen (intern oder als Zertifizierungsstelle), lehrt der Kurs ISO 22301 Lead Auditor die Auditmethodik und wie man ein BCMS gegen den Standard bewertet, was zugleich der schnellste Weg ist, zu lernen, anhand welcher Nachweise Ihr eigenes Programm beurteilt wird.
Wo Programme scheitern
Die wiederkehrenden Fehler sind vorhersehbar, und fast alle entstehen daraus, die Rahmenwerke als getrennt statt als geschichtet zu behandeln.
- Drei sich widersprechende BIAs. Continuity, Security und Finance setzen Kritikalität jeweils anders an. Beheben Sie es, indem Sie eine BIA vorschreiben, die alle drei Funktionen unterzeichnen.
- Pläne, die die Übung bestehen, aber am Ereignis scheitern. Tabletop-Übungen, die eine Präsentation durchgehen, beweisen nichts. Testen Sie die Auslösung, nicht die Erzählung: schwenken Sie tatsächlich um, stellen Sie tatsächlich aus dem Backup wieder her, erreichen Sie tatsächlich die Personen auf der Anrufliste.
- Verwechslung der Continuity-, Recovery- und Incident-Response-Funktionen. Business Continuity hält den Dienst am Laufen, Disaster Recovery stellt die Technologie wieder her, und Incident Response dämmt die Ursache ein. Es sind eigenständige Disziplinen, die sauber ineinander übergeben müssen.
- Die Meldefrist verpassen. Der Kontinuitätsplan hat funktioniert, aber niemand hat die Frühwarnung rechtzeitig eingereicht. Die regulatorische Benachrichtigung ist eine separate, fristgebundene Pflicht und braucht einen eigenen Verantwortlichen.
- Krisenmanagement als nachrangig behandeln. Wenn ein Vorfall eskaliert, ist die Entscheidungsfindung, nicht die technische Wiederherstellung, der Schwachpunkt.
Zwei dieser Fehler haben eigene Gegenmittel. Der Kurs Lead Disaster Recovery Manager trennt die Technologiewiederherstellung von der Geschäftsfortführung, sodass die beiden nicht mehr verwechselt werden, und der Kurs Certified Lead Crisis Manager baut die Führungs-, Kommunikations- und Entscheidungsstruktur auf, die hält, wenn ein Vorfall zur Krise wird.
Die Realität im Auditraum
Was ein Prüfer für eines der drei Rahmenwerke wirklich auslotet, ist, ob Ihre Resilienz echt ist oder nur auf dem Papier steht. Er wird nach der BIA fragen und dann fragen, wer sie genehmigt hat und wann sie zuletzt überprüft wurde. Er wird nach Ihrer letzten Übung fragen und dann fragen, was gescheitert ist und was Sie daraufhin geändert haben, denn eine Übung ohne Befunde ist ein Warnsignal, kein Persilschein. Bei DORA-Einrichtungen wird er nach dem Testprogramm und dem Drittparteienregister fragen und erwarten, dass beide aktuell sind und nicht erst in der Woche zuvor rekonstruiert wurden.
Die Teams, die ruhig bestehen, sind diejenigen, die ein einziges Programm betreiben: eine BIA, eine Vorfall-Pipeline, die sowohl die interne Reaktion als auch die regulatorische Meldung speist, ein Übungskalender, der tatsächlich Dinge zu Bruch gehen lässt, und eine Kontrollabbildung, die es ihnen ermöglicht, drei Aufsichtsbehörden aus derselben Nachweisbasis zu beantworten. Bauen Sie das ISO 22301-Rückgrat richtig auf, setzen Sie die Pflichten von NIS 2 und DORA bewusst darauf, und die Wendung, die Ihre Audits beschreiben sollte, lautet: einmal abbilden, dreifach auditieren.
Frequently asked questions
01Benötige ich unter NIS 2 oder DORA eine ISO 22301-Zertifizierung?
Nein. Weder NIS 2 noch DORA schreiben eine ISO 22301-Zertifizierung vor. Beide verlangen, dass die Organisation Fähigkeiten zur Geschäftsfortführung und Resilienz betreibt, die bestimmte Ergebnisse erreichen (Wiederherstellung innerhalb vereinbarter Fristen, Meldung von Vorfällen innerhalb der Fristen, Erprobung der Pläne). Ein ISO 22301-konformes BCMS weist diese Fähigkeiten gegenüber einer Aufsichtsbehörde sauber nach.
In der Praxis streben Finanzunternehmen und Betreiber von Diensten wesentlicher Bedeutung häufig eine ISO 22301-Zertifizierung an, weil die von NIS 2 und DORA geforderten Auditnachweise nahezu eins zu eins mit den Zertifizierungsnachweisen übereinstimmen.
02Wie hängen BCP, DR und Incident Response zusammen?
Drei sich überschneidende Disziplinen. Business Continuity Plans (BCPs) regeln, wie das Unternehmen den Betrieb durch eine Störung hindurch aufrechterhält: Personaleinsatz, Ausweichstandorte, Behelfslösungen, Kommunikation. Disaster Recovery (DR) deckt die IT-spezifische Wiederherstellung von Systemen und Daten ab. Incident Response (IR) deckt den Zyklus von der Erkennung bis zur Wiederherstellung von Sicherheitsvorfällen ab.
Ein ausgereiftes Programm betreibt sie als Einheit. Dasselbe Playbook führt von der Vorfallerkennung (IR) über die Systemwiederherstellung (DR) bis zur Fortführung des Geschäftsbetriebs (BCP). Verschiedene Teams können verschiedene Phasen ausführen, doch der Plan ist integriert.
03Was sind bedrohungsorientierte Penetrationstests unter DORA?
TLPT ist die von der Aufsichtsbehörde überwachte Red-Team-Übung, die für bedeutende Finanzunternehmen unter DORA mindestens alle drei Jahre erforderlich ist. Sie baut auf TIBER-EU auf. Sie ist nachrichtendienstgesteuert (ein separates Threat-Intelligence-Team erstellt das Angreiferprofil), zielt auf kritische oder wichtige Funktionen ab und wird von der nationalen Behörde beaufsichtigt.
TLPT ist eine mehrmonatige Arbeit im sechsstelligen Eurobereich. Es ist der strengste Resilienztest, dem sich ein Finanz-CISO stellen wird, und derjenige, der das SOC, die Erkennungsregeln und die Incident-Response-Kette so offenlegt, wie sie wirklich sind.
04Wie strukturiere ich ein einziges Resilienzprogramm?
Beginnen Sie mit dem BCMS (ISO 22301 als Rückgrat): Anwendungsbereich, BIA, Wiederherstellungsziele, Pläne, Tests, Managementbewertung. Ergänzen Sie die Verfahren zur Vorfallmeldung nach NIS 2 und die Pflichten zur Kontinuität der Lieferkette aus Article 21. Ergänzen Sie den DORA-spezifischen Testplan, das IKT-Drittparteienregister und die Klassifizierung von Vorfällen für Finanzunternehmen.
Bilden Sie die Kontrollen in einem einzigen Abbildungsdokument ab, das zeigt, welche Klausel welches Rahmenwerks jede Kontrolle erfüllt. Auditoren erkennen die Abbildung und hören auf, doppelte Fragen zu stellen.






